目录:

☆ SNMPv3视图访问控制模型
    ☆ SNMPv3报文格式
    ☆ VACM参数
    ☆ Context Table
    ☆ Security To Group Table
    ☆ Access Table
    ☆ View Tree Family Table
    ☆ Overall Picture
    ☆ 小结
    ☆ 参考资源

--------------------------------------------------------------------------

☆ SNMPv3视图访问控制模型

本文是介绍SNMPv3新安全特性的第二篇。前面我们介绍了基于用户的安全模型USM以
及如何完成SNMPv3报文的鉴别、加密、解密。这次我们介绍基于视图的访问控制模型
VACM(View-based Access Control Model),RFC 2575定义了VACM,它提供对MIB的访
问控制。

一个SNMP实体的访问控制子系统负责检查对指定MIB的某种类型的访问是否被允许。

你将会看到,VACM引入的概念相当复杂、混乱。SNMPv1和SNMPv2c采用community
string来划分MIB范围、确定访问权限等等。而VACM允许更加严谨的动态的访问控制
模型,易于管理员配置。

☆ SNMPv3报文格式

SNMPv3的报文格式变得适合使用USM这样的安全模型以及VACM这样的访问控制模型。

msgVersion

报文的SNMP版本号,比如1、2或3

msgID

msgID用于在manager和agent之间对应请求和响应消息。响应报文中的msgID必须
    与请求报文中的msgID一致。

msgMaxSize

msgMaxSize指明了"发送者"所能接收的来自其它SNMP engine的最大消息长度。

msgFlags

msgFlags就一个字节,指明如何处理消息。比如,msgFlags中有两个bits用于指
    明报文是否需要验证、加密。

msgSecurityModel

SNMPv3被设计成多种安全模型并存。msgSecurityModel指明该消息使用的安全模
    型。这样接收实体就知道该采用哪种安全模型。

msgSecurityParameters

这是一个字节数组,对应安全模型相关数据。这些数据仅由msgSecurityModel指
    定的安全模型定义、使用。介绍USM时,已经看到如何利用这个域对SNMPv3报文
    进行鉴别、加密、解密。

scopedPDU

scopedPDU包含常规PDU以及一些鉴别信息,这些鉴别信息指明处理PDU时的唯一
    上下文,上下文是可配置的。

☆ VACM参数

VACM在进行访问控制时会用到msgFlags、msgSecurityModel以及scopedPDU域。
msgFlags用于确定消息的安全级别,比如noAuthNoPriv、authNoPriv或authPriv。
msgSecurityModel指明消息所用安全模型。scopedPDU包含上下文以及被管理对象的
OIDs,具体有如下域:

contextEngineID

contextEngineID唯一标识一个SNMP实体,该实体在特定上下文内可以访问一个
    被管理对象的实例。

contextName

PDU数据所属上下文的唯一名字,这个是可配置的。

PDU(数据)

SNMP协议数据单元。参看RFC 1905了解SNMP PDUs更多信息。

这三个参数被传递给isAccessAllowed()函数,该函数是VACM的唯一入口点,在此决
定访问是否被允许。PDU中每一个变量都要接受检查,如果其中一个变量不可访问,
就向主调者返回错误,处理将终止。VACM定义了四个表,每个表负责不同方面的访问
控制,它们均可通过VACM MIB远程修改。

☆ Context Table

这里所谓的上下文实际定义了一个SNMP实体所能访问的被管理对象集合。换言之,用
一个名字代表被管理对象子集。可能一个对象位于多个上下文中,可能一个SNMP实体
被允许访问多个上下文。vacmContextTable用于存放所有本地可访问上下文,其关键
字为contextName,每个表项含有:

vacmContextName

一个唯一的可读字符串,用于命名一个上下文。会在vacmContextTable中搜索
    scopedPDU里的contextName。如未找到匹配,拒绝访问并返回noSuchContext。
    反之继续访问控制检查。

☆ Security To Group Table ----user和group的关系

groupName针对一组principals定义一种访问控制策略。principal是对SNMP实体的细
化,代表来自SNMP实体的一个具体用户操作。组中可有零个或多个元素(principal)。
securityName与msgSecurityModel构成复合关键字,至多确定一个组。于是,一个通
信受特定securityModel保护的特定principal只能属于一个组。

vacmSecurityToGroupTable用于存放组信息,其复合关键字为securityModel和
securityName,每个表项含有:

vacmSecurityModel

指定SNMPv3安全模型,比如USM

vacmSecurityName

代表一个principal的名字,格式与安全模型无关。对于USM,securityName就是
    userName。

vacmGroupName

一个可读字符串,标识该表项所属组。

首先根据msgSecurityModel对SNMPv3报文进行鉴别、解密,获取securityName。然后
securityName与msgSecurityModel构成复合关键字,在表中匹配搜索。如果没有找到
匹配表项,拒绝访问并返回noSuchGroupName。否则返回相应的groupName,继续访问
控制检查。

☆ Access Table ------group和view的关系

vacmAccessTable存放各组的访问权限。为了确定是否允许访问,必须从表中选取表
项,根据其中相应的viewName进行后续访问控制检查。一个组可能对应着多种访问权
限,最终只选取最大安全化的那个表项。就是说,最高安全、最长contextPrefix匹
配的表项被选中。参看vacmAccessTable MIB描述了解更多信息。该表靠groupName、
contextPrefix、securityModel以及securityLevel进行索引,每个表项含有:

vacmGroupName

组名,有访问权限对应之。

vacmAccessContextMatch 
    如果设置为exact,contextName必须与vacmAccessContextPrefix精确匹配。如
    果设置为prefix,contextName只需与vacmAccessContextPrefix前面几个字符匹
    配即可。

vacmAccessContextPrefix

contextName将与之做比较

vacmAccessSecurityModel

为了获取这种访问权限而必须使用的securityModel

vacmAccessSecurityLevel

为了获取这种访问权限而必须使用的最小securityLevel。安全级别的顺序是
    noAuthNoPriv < authNoPriv < authPriv

vacmAccessReadViewName

读访问所用的权威MIB viewName。如果该值为空串,表示没有任何活动视图被配
    置成可读的。

vacmAccessWriteViewName

写访问所用的权威MIB viewName。如果该值为空串,表示没有任何活动视图被配
    置成可写的。

vacmAccessNotifyViewName

notify访问所用的权威MIB viewName。如果该值为空串,表示没有任何活动视图
    被配置成允许notify访问的。

检查该表时所用contextName是通过vacmContextTable检查的有效contextName。所用
groupName来自检查vacmSecurityToGroupTable时的返回值。securityModel来自消息
中的msgSecurityModel,securityLevel来自msgFlags。如果最终未匹配出一个访问
权限,则拒绝访问并返回noAccessEntry。

一旦匹配出一个访问权限,与之对应的适当的viewName将被选取出来,使用哪个
viewName根据PDU中SNMP操作决定。GET和NEXT操作使用vacmAccessReadViewName,
SET操作使用vacmAccessWriteViewName。TRAP操作使用vacmAccessNotifyViewName。
如果相应viewName未被配置,拒绝访问并返回noSuchView。

最后,如果匹配出一个访问权限也选取了适当的viewName,访问控制检查继续进行。

☆ View Tree Family Table ---view表

vacmViewTreeFamilyTable存放MIB views。一个MIB view由一颗OID子树和一个掩码
共同定义。

对于每个给定OID,当下列两点同时满足时,被认为属于一个特定MIB view:

1) OID至少与OID子树一样长

2) OID & 掩码 == OID子树 & 掩码

掩码是可配置的,如果它在测试中比OID或OID子树短,隐式认为不足部分为均为1。
所以,如果一个view subtree family的掩码为空(长度为零),意味着这个掩码为全
1,对应一颗单一的OID子树。

例如,假设定义了如下一些MIB视图

(A) subtree: 1.3.6.1.2.1
           mask: 1 1 1 1 1 1

(B) subtree: 1.3.6.1.2.1.1.1
           mask: 1 1 1

(C) subtree: 1.3.6.1.2.1.2
           mask: none

(D) subtree: 1.3.6.1.2.1.1
           mask: 1 1 0 1 0 1 1

(E) subtree: 1.3.6.1.2.1.2
           mask: 1 1 0 1 0

(F) subtree: 1.3.6.1.2.1
           mask: 1 1 0 1 0 1

根据如上MIB view检查来自如下一些OID,以确定这些OID是否是否属于某个MIB视图。
由于掩码的存在,一个OID可能位于多个MIB视图,也可能不属于任何视图。

1.3.6.1.2.1        belongs to: A, F
    1.2.6.1.2.1.1      belongs to: none of them 
    1.3.6.1.3.1        belongs to: F
    1.3.4.1.4.1.2      belongs to: E, F
    1.3.6.1.2.1.1.1.0  belongs to: A, B, D, F
    1.3.6.1.2          belongs to: none of them

所有的MIB views都保存在vacmViewTreeFamilyTable中,该表靠viewName和OID子树
索引。注意,VACM MIB定义了一个旋锁vacmViewSpinLock,当多个SNMP Manager通过
VACM MIB修改该表时,就会用到vacmViewSpinLock。其用法与usmUserSpinLock的用
法是一样的,参看<<SNMP/MIB系列(12)--SNMPv3用户安全模型>>。该表中每个表项包
含:

vacmViewTreeFamilyViewName

一个字符串,MIB视图名

vacmViewTreeFamilySubtree

一颗OID子树,与vacmViewTreeFamilyMask一道定义一颗或多颗MIB视图子树

vacmViewTreeFamilyMask

掩码,与vacmViewTreeFamilySubtree一道定义一颗或多颗MIB视图子树

vacmViewTreeFamilyType

指明vacmViewTreeFamilySubtree与vacmViewTreeFamilyMask一道定义的MIB视图
    子树是包含在MIB view内,还是排除在MIB view外。

这里用来索引vacmViewTreeFamilyTable的viewName来自vacmAccessTable中的权威视
图名。根据MIB view检查来自PDU的OID。如果OID不属于任何MIB view,拒绝访问并
返回notInView。反之,允许访问并返回accessAllowed。

☆ Overall Picture

VACM定义的访问控制算法稍微有点复杂、难于理解。下面这张流程图演示了前述四张
表各自的输入输出。securityModel与securityName决定who,contextName决定where,
securityModel与securityLevel决定how,viewType(比如read、write或notify)决定
why。被管理对象的OID决定what,被管理对象实例决定which。

--------------------------------------------------------------------------

☆ 小结

VACM概览使你理解如何针对SNMPv3报文进行访问控制管理。

配置每个VACM表时应该特别小心。一点微小的错误配置可能导致一个巨大的安全漏洞,
比如潜在允许对敏感数据进行非法访问。应该先在一个测试用网络环境中测试你的配
置,确认无误后再应用到实际网络环境中去。

SNMPv3框架确保了安全子系统和访问控制子系统的模块化,虽然目前USM与VACM分别
被用做安全模块以及访问控制模块,但你可以实现自己的安全模块以及访问控制模块。
将来IETF可能会更新这些模块。无论如何,SNMPv3框架确保新旧模块之间可以平滑过
渡。

SNMP学习——v3 VACM的更多相关文章

  1. Centos 6.5下一个SNMP简单配置(snmp protocol v3,监控宝)

    Centos 6.5下一个SNMP简单配置(snmp protocol v3.监控宝) jom_ch@2014/7/25 1,安装 >yum -y install net-snmp net-sn ...

  2. SNMP学习笔记之SNMP报文以及不同版本(SNMPv1、v2c、v3)的区别

    本篇文章将重点分析SNMP报文,并对不同版本(SNMPv1.v2c.v3)进行区别! 四.SNMP协议数据单元 在SNMP管理中,管理站(NMS)和代理(Agent)之间交换的管理信息构成了SNMP报 ...

  3. SNMP学习笔记之SNMP 原理与实战详解

    原文地址:http://freeloda.blog.51cto.com/2033581/1306743 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法 ...

  4. Snmp学习总结(一)——Snmp的基本概念

    一.SNMP简单概述 1.1.什么是Snmp SNMP是英文"Simple Network Management Protocol"的缩写,中文意思是"简单网络管理协议& ...

  5. Snmp学习总结(七)——SNMP4J介绍

    一.SNMP4J介绍 SNMP4J是一个用Java来实现SNMP(简单网络管理协议)协议的开源项目.它支持以命令行的形式进行管理与响应.SNMP4J是纯面向对象设计与SNMP++(用C++实现SNMP ...

  6. Snmp学习总结系列——开篇

    进入公司以来,一直参与到公司的产品研发工作当中去,在产品研发中有一个监控远程服务器CPU使用率,内存使用情况,硬盘的需求,技术总监提出了使用Snmp协议作为远程监控的技术解决方案,头一次听说Snmp这 ...

  7. SNMP学习笔记之SNMPv3的配置和认证以及TroubleShooting

    0x00 增加snmp v3用户 增加用户的时候,必须要停止SNMP服务. # service snmpd stop # net-snmp-config --create-snmpv3-user -r ...

  8. SNMP学习笔记之SNMP TRAP简介、流程以及使用Python实现接受Trap信息

    0x00 SNMP TRAP简介 SNMP(Simple Network Management Protocol) trap是一种很有用,但是也容易让人难以理解的协议. 虽然名字叫做简单网络管理协议, ...

  9. SNMP学习笔记之SNMP4J介绍(Java)

    0x00 SNMP4J介绍 SNMP4J是一个用Java来实现SNMP(简单网络管理协议)协议的开源项目.它支持以命令行的形式进行管理与响应.SNMP4J是纯面向对象设计与SNMP++(用C++实现S ...

随机推荐

  1. sklearn使用——梯度下降及逻辑回归

    一:梯度下降: 梯度下降本质上是对极小值的无限逼近.先求得梯度,再取其反方向,以定步长在此方向上走一步,下次计算则从此点开始,一步步接近极小值.需要注意的是步长的取值,如果过小,则需要多次迭代,耗费大 ...

  2. Python 函数初识 (1)

    一.今日主要内容 认识函数 函数:对功能或者动作的封装(定义) 语法: def 函数名字(形参) 函数体 函数的调用格式:函数名(实参) 函数的返回值 关键字:return 终止函数的运行 1.函数内 ...

  3. Python开发【内置模块篇】os模块

    1.当前路径及路径下的文件 os.getcwd():查看当前所在路径. >>> import os >>> os.getcwd() 'E:\\test' >& ...

  4. mysql partition分区

    (转) 自5.1开始对分区(Partition)有支持 = 水平分区(根据列属性按行分)=举个简单例子:一个包含十年发票记录的表可以被分区为十个不同的分区,每个分区包含的是其中一年的记录. === 水 ...

  5. Linux删除文件夹和修改文件名

    rm [选项] 文件 -f, --force 强力删除,不要求确认 -i 每删除一个文件或进入一个子目录都要求确认 -I 在删除超过三个文件或者递归删除前要求确认 -r, -R 递归删除子目录 -d, ...

  6. 数据库的设计:深入理解 Realm 的多线程处理机制

    你已经阅读过 Realm 关于线程的基础知识.你已经知道了在处理多线程的时候你不需要关心太多东西了,因为强大的 Realm 会帮你处理好这些,但是你还是很想知道更多细节…… 你想知道在 Realm 的 ...

  7. Atcoder Dwango Programming Contest V

    模拟,做了ABC三题. D难一些,就不会了. 中规中矩的吧... Atcoder DPCV B 题意:给一个序列,求出所有的子串和中AND值最大的k个数的AND. 思路:既然要求AND,那么肯定按位考 ...

  8. HDU-problem-1002-人类史上最大最好的希望事件-矩阵快速幂

    Problem Description 作为CNCS的半壁江山,狗哥常常在宇宙中心邵阳眺望黄浦江,夜晚的星空总是迷人,有时候还能见到彗星滑落. 狗哥是幸运的,他在两秒钟内看到了十七颗彗星划过天际,作为 ...

  9. Vue-异步组件

    一般情况下,在代码开头引入组件: import Vue from 'vue' import Router from 'vue-router' import Home from '@/pages/hom ...

  10. 相约南湖,南京都昌信息亮相南湖HIT论坛

    金秋十月,雨过南湖水似油 ,烟雾蒙蒙净长空 2017年10月15日, 南湖HIT论坛迎来了第六届.本次论坛吸引了500名来自全国各地医疗机构.卫生行政主管部门的信息化主管和医疗IT企业的精英,齐聚嘉兴 ...